挖洞思路整理0713

bai97   ·   发表于 2023-07-13 22:44:15   ·   闲聊灌水区

通过两天src发现了自身很多问题,大佬们教一教,教一教
1.知识点掌握不全,每个知识点都知道一些,但是又掌握不牢固,又属于工作期间,无法刷课程
2.挖洞前感觉自己掌握的差不多了,但是看到网站还是无从下手
3.现在看到网站,下意识感觉只有sql注入,上来就是sql注入测试,然后也只会一些基本的sql注入测试方法,
比如:id=1 and 1=1 //比如这一类的基本语法
通过这一类的方法来进行测试,测试后就发现em….别的啥也想不起来了。
然后就是遇到diui/1920/1498.htm 这一类的网站无从下手
对于xss注入来说,也只是停留在<script>alert(13123)</script>去发现问题等
还有一些,就掌握的太少了也不会用。。。
对于授权网站,是不是一般是通过这种手动挖的方式进行的么?我看要求说不允许影响网站正常运行啥的。
……
……
……
大佬们如果看到此文章,麻烦给小弟指一指接下来该怎么办?

打赏我,让我更有动力~

4 条回复   |  直到 2023-8-16 | 600 次浏览

spider
发表于 2023-7-14

你好同学,我是第八期的学生,我刚刚学完课程也有这样的问题,我会帮助你解决这类的问题。

关于你的问题
第一点回答:你需要做笔记,学习漏洞为什么会产生,如何利用?平时怎么发现?还有没有其他利用方法?
第二点和第三点的回答::你需要根据网站有什么功能就做什么样的攻击,具体功能点具体分析攻击,本质不变的信息收集三件套:网站路径扫描、端口扫描、框架识别等接下来的测试,在渗透中一个功能点或许你只知道一种攻击思路,但其实很多中,这个需要你自己去扩展你的知识面

遇到diui/1920/1498.htm的情况,这种是静态网站,一般来说是无法下手的,聂风老师曾经说过,要不断地设想,不断地怀疑,任何与用户产生交互的地方都可能存在漏洞。同理,既然diui/1920/1498.htm这种情况不存在交互,那么我们更多的需要去关注POST请求包的参数交互数据,如果都没有,可以尝试去打子站

关于XSS,还是我说过的一些问题一样,你需要自行拓展你的知识面

评论列表

  • 加载数据中...

编写评论内容

C33
发表于 2023-7-14

diui/1920/1498.html这类网站怎么挖sql注入,有大神懂的吗?

评论列表

  • 加载数据中...

编写评论内容

koopa0606
发表于 2023-7-20

和你一样

评论列表

  • 加载数据中...

编写评论内容

beize
发表于 2023-8-16

不确定你还需不需要,这种东西的解决还是较为容易的。

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.